CRITICAL🇬🇧 English

CVE-2025-13780

RCE w pgAdmin 4 poprzez złośliwe pliki dump w trybie serwerowym

CVSS 9.1v3.1pub. 2025-12-11upd. 2025-12-19

Podatność typu Remote Code Execution (RCE) w pgAdmin 4 w wersjach do 9.10 umożliwia atakującemu wykonanie dowolnych poleceń na serwerze. Problem dotyczy wyłącznie trybu serwerowego i jest wyzwalany podczas przywracania bazy danych z plików dump w formacie PLAIN.

Pokaż oryginał (EN)

pgAdmin versions up to 9.10 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-94 — code injection) podczas operacji przywracania z pliku dump w formacie PLAIN. Atakujący posiadający dostęp do funkcji przywracania może spreparować złośliwy plik dump zawierający wstrzykniętą sekwencję poleceń. Podczas przetwarzania takiego pliku przez pgAdmin działający w trybie serwerowym, wstrzyknięte polecenia są wykonywane bezpośrednio na serwerze hostującym aplikację.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na serwerze, na którym działa pgAdmin, co stanowi krytyczne zagrożenie dla integralności serwera, systemu zarządzania bazą danych oraz przechowywanych danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek zastępczy należy rozważyć ograniczenie dostępu do funkcji przywracania bazy danych wyłącznie do zaufanych użytkowników oraz unikanie importu plików dump pochodzących z niezaufanych źródeł.

Kogo dotyczy

pgAdmin 4 w wersjach do 9.10 włącznie, działający w trybie serwerowym (server mode)

Uwagi

Podatność dotyczy wyłącznie pgAdmin działającego w trybie serwerowym (server mode). Instalacje działające w trybie desktopowym (desktop mode) nie są podatne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
  • Pgadmin 4

    APP
    Pgadmin
    ≤ 9.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-12046CRITICAL9.5ten sam produkt

Two state-mutating endpoints in pgAdmin 4's SQL Editor blueprint -- DELETE /sqleditor/close/<trans_id> and POS...

CVE-2026-12048CRITICAL9.3ten sam produkt

Stored cross-site scripting in pgAdmin 4's error-rendering and plan-node-rendering paths. Text returned by a P...

CVE-2026-12045CRITICAL9.4ten sam produkt

Read-only transaction bypass in the pgAdmin 4 AI Assistant allows an attacker who can influence database conte...

CVE-2026-7813CRITICAL9.4PL ✓ten sam produkt

pgAdmin 4: nieautoryzowany dostęp i privilege escalation w trybie serwerowym

CVE-2025-12762CRITICAL9.1PL ✓ten sam produkt

RCE w pgAdmin 4 — wstrzykiwanie komend podczas przywracania bazy